据SiliconANGLE报道,当地时间20日,开发者工具公司Vercel披露了一起部分客户数据泄露事件。
Vercel于19日晚发布安全公告称,此次安全事件源于外部产品Context.ai遭入侵。公开资料显示,Vercel去年估值达93亿美元,主要围绕开源开发框架Node.js为开发者提供Web应用开发工具和云基础设施服务。
公告显示,Context.ai是一款可集成Google Workspace等第三方服务的AI办公自动化云平台。黑客在入侵Context.ai后,借此登录了Vercel员工的Google Workspace账户。
在取得相关账户访问权限后,攻击者访问了部分客户的环境变量。环境变量通常用于存储数据库密码、加密密钥等敏感信息。Vercel表示,公司已提供用于保护敏感环境变量的相关功能,但此次泄露的信息来自未启用该保护功能的客户。
Vercel同时称,由于相关客户未使用上述保护功能,此次泄露信息的敏感程度可能相对有限。
据报道,此次泄露还涉及数百名员工的相关信息以及多组API密钥,其中部分API密钥与GitHub代码仓库相连。Vercel员工参与维护与Node.js相关的GitHub仓库,并参与管理其他开源项目。SiliconANGLE指出,若相关开源项目的访问权限受到影响,可能引发波及大量开发者的供应链安全风险。
Vercel首席执行官Guillermo Rauch随后在X(原Twitter)发文表示,供应链分析结果显示,Next.js、Turbopack及多项开源项目均未受到影响。目前,Vercel正借助Google Mandiant的网络安全服务对事件展开调查。
Vercel还建议客户更换非敏感环境变量,并通过活动日志排查是否存在恶意行为痕迹。与此同时,公司已推出相关仪表盘,以便客户更方便地管理和监控环境变量。
Chi-gyu Hwang
delight@d-today.co.kr